Dès lors, il se pose la question de l’accès aux données de santé du patient, personne concernée par le traitement , pour des soins efficients, tout en évitant les risques juridiques sur le fondement de l’atteinte à la vie privée, pour défaut de protection de données à caractère personnel.
L’exercice de la médecine repose désormais sur l’usage d’algorithmes pour conduire des opérations, suivre des patients à distance, personnaliser des traitements au moyen de la détection des maladies en avance. D’où le recours au traitement, parfois à grande échelle, de données indispensables au fonctionnement et au perfectionnement des outils médicaux modernes.
A cet effet, il est manifestement opportun et inévitable de saisir la problématique de la collecte, le stockage et la circulation des données sanitaires en considération du facteur d’extranéité dont la place est fortement justifiée par l’activité des itinérances thérapeutiques partant de l’étranger pour le Cameroun et vice-versa. Cet aspect révèle donc les préoccupations qui naissent non seulement en raison de la protection des données nationales et des patients, mais aussi celles des étrangers résidents ou de passage au Cameroun.
A titre de remarques liminaires conceptuelles.
La « donnée à caractère personnel ».
Au sens du RGPD, une « données à caractère personnel » est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La jurisprudence a ajouté à cette liste l’adresse IP (protocole Internet), au motif qu’une adresse IP, bien qu’étant attachée à une machine, ladite machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire. C’est un cas d’identification indirecte car, la personne concernée est identifiable même si elle n’est pas identifiée. Cette extension rend la définition de donnée à caractère personnel très large en englobant diverses informations telles que le numéro de plaque d’immatriculation de véhicule, le numéro de téléphone, etc. Cette position rejoint l’esprit du RGPD qui y ajoute les témoins de connexion (« cookies ») et les étiquettes d’identification par radiofréquence, pour ne citer que ces cas-là.
La donnée de santé.
Les données de santé sont des « données concernant la santé » , et qui font partie du grand ensemble de données à caractère personnel et du sous-ensemble de catégories particulières de données à caractère personnel. Elles sont définies comme, les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
Le « traitement » au sens du RGPD.
Un « traitement » est toute opération ou tout ensemble d’opérations effectuées sur des données ou des ensembles de données à caractère personnel. Les procédés de traitement peuvent être automatisés ou non. Il y a autant de traitements que d’opérations réalisées sur les données : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, transfert, rapprochement, interconnexion, limitation, effacement ou destruction, valorisation, rapprochement, interprétation, destruction, etc.
La qualité de responsable du traitement.
Dans le secteur de la santé, les responsables de traitement peuvent être les professionnels et établissements de santé, les structures et services de soins, les fournisseurs de solutions techniques, susceptibles de délivrer de l’information. Le responsable du traitement est la personne morale ou physique, l’autorité publique, le service ou tout organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Il lui est permis d’avoir un responsable conjoint et/ou un sous-traitant, le cas échéant. En cas de confusion ou conflit de qualifications des acteurs du traitement, la solution consiste à réaliser une analyse de la distributivité factuelle et juridique c’est-à-dire l’analyse des actes posés au regard d’un faisceau d’indices qui permet de savoir qui détient cumulativement la pleine et entière autonomie sur non seulement les finalités mais aussi les moyens du traitement considéré. A défaut de clarté, le RGPD développe le régime de la responsabilité in solidum, en tant que de besoin.
Le responsable du traitement peut être soit une personne physique (médecin, infirmier, aide-soignant, autre personnel médico-sanitaire) ou morale (hôpital, centre de santé, clinique, etc) soit une autorité publique (ministère en charge de la santé, agence gouvernementale) soit un service (dispensaire d’entreprise, centre médico-social) soit un autre type d’organisme.
La personne concernée.
La personne concernée est la personne dont on traite les données à caractère personnel. Elle doit être une personne physique vivante, résidente dans l’UE, à l’exclusion de la personne décédée et la personne morale.
La prise en compte de données de santé du patient considéré commande la mise en exergue des problématiques médicales et juridiques d’imbrication (A) en présence, tout en imposant une série d’exigences dont les premières sont relatives au transfert des données de santé hors UE (B), suivies des règles relatives au traitement des données du patient (C).
Les problématiques médicales et juridiques d’imbrication.
A.1. Problématiques médicales.
Les problématiques médicales mettent en articulation les facteurs de risque de complication de la maladie à coronavirus et l’importance des données de santé antérieures du patient.
A.1.a. COVID-19 et facteurs de risque de complication.
Plusieurs études médicales font état de ce que les divers facteurs de risque de complication de la maladie à coronavirus peuvent être l’âge , les antécédents médicaux (antécédents cardiovasculaires, insulinodépendance non équilibrée, pathologie chronique respiratoire, insuffisance rénale chronique dialysée, cancer sous traitement, immunodépression congénitale ou acquise, cirrhose au stade B ou C, obésité, grossesse), le tabagisme , le sexe , la génétique , les bio marqueurs et le groupe sanguin.
A.1.b. Incidence des données antérieures dans la prise en charge médicale.
Les facteurs de risque ne sont pas seulement une problématique médicale circonstancielle à la COVID-19, mais aussi la corrélation évidente entre le bon diagnostic et les données médicales antérieures fiables du patient, pour une administration de soins efficiente en toute bonne connaissance de cause. C’est l’avis de l’Organisation Mondiale de la Santé (OMS) qui affirme que les données de santé permettent « d’établir une planification plus efficiente et plus efficace et de réagir rapidement aux pics de maladies grâce à l’utilisation de données en temps réel ». Ce qui entraîne une meilleure prise en charge des patients. D’où l’importance vitale pour le patient et le médecin traitant d’accéder à ces données, en toute légalité évidemment.
A.2. Asymétrie de systèmes juridiques de protection de données de santé.
La protection des données de santé peut être saisie sous un double angle : l’état de la législation camerounaise et les solutions de l’UE.
A.2.a. Etat de la législation camerounaise.
Sur le plan général, la loi fondamentale et le juge camerounais protègent la vie privée, et de façon présumée les données de santé, y compris par le mécanisme de renvoi à la protection des Droits de l’Homme : « Le Peuple camerounais (…) Affirme son attachement aux libertés fondamentales inscrites dans la déclaration universelle des droits de l’homme (…).
Sur le plan sectoriel sanitaire, le dispositif législatif, en l’occurrence la loi n°96/03 du 4 janvier 1996, portant loi-cadre dans le domaine de la santé, affirme, entre autres, à son article 3 que : « la politique nationale de santé vise en particulier la rationalisation de la gestion des infrastructures, des équipements et du personnel par la mise en place des systèmes d’information performants permettant une réelle planification qui tienne compte des acquis, des besoins et des objevtifs du service de la santé. »
Quant au niveau réglementaire, le Ministère de la Santé est chargé de : « la conception et le suivi de la mise en œuvre du système d’information sanitaire ; la collecte et le traitement des données statistiques de santé ; la mise en place de bases et des banques de données relatives à la santé publique ; la sécurisation et la disponibilité des données statistiques ; et, la publication des données sanitaires ». Le reste de l’ensemble du corpus réglementaire sectoriel se limite à énoncer le répérage, la collecte, le rassemblement, l’analyse, la confrontation et la synthèse des données de santé humaine, sans pour autant organiser les règles qui devraient encadrer les droits des patients et les obligations et sanctions du professionnel de santé au sens large.
A titre prospectif, pour ce qui est des outils devant servir à la réalisation de ces missions, le Plan Stratégique National Santé Numérique 2020-2024, dans l’Axe stratégique 2, intitulé Legislation politique et conformité, mentionne deux activités à savoir, l’élaboration des projets de textes juridiques en santé numérique et la vulgarisation des textes juridiques en santé numérique, sans préciser la place que pourrait avoir les données de santé.
Sur le plan sectoriel des technologies de l’information et de la communication, il existe l’énoncé de la garantie de la protection des consommateurs, et dont du patient et des intervenants du secteur médical, utilisateurs de services de communications électroniques et d’outils numériques dans le cadre de leur profession de prescription et d’administration des soins. Mieux, le droit à la protection de leur vie privée en tant que personne est consacré dans le cadre la lutte contre la cybersécurité et la cybercriminalité.
A.2.b. Solutions européennes.
Le système juridique de protection des données de santé de l’UE est sous l’empire du RGPD, qui couvre toute la problématique des données à caractère personnel, et dont les données de santé font partie. La protection des données de santé y est organisée comme suit : une catégorisation de la donnée de santé ; des transferts de données de santé hors UE autorisés sous condition ; des principes de traitement de données clairs ; des bases légales de traitement limitativement énumérées ; des droits les plus larges accordés à la personne concernée ; des sanctions conséquentes contre les contrevenants.
Or, le RGPD interdit tout transfert des données à caractère personnel des personnes concernées domiciliées en Europe, vers un pays non membre de l’UE, pour des raisons de maîtrise, de niveau de qualité de la sécurité, et de mécanismes de contrôle qui peuvent ne pas être conformes aux exigences du RGPD en la matière, même dans le cas d’une simple consultation. Ce qui peut rendre considérablement ardue la tâche du médecin traitant camerounais, en présence d’un patient souffrant de la COVID-19, et présentant des facteurs de risque dont le diagnostic et les soins sont tributaires des données de santé sous l’empire du RGPD.
A.2.c. Insuffisances juridiques camerounaises.
En somme, la législation camerounaise sur les données à caractère personnel présente plusieurs insuffisances. Bien qu’elle reconnaisse un droit de niveau constitutionnel à la protection de la vie privée, il reste de nombreuses insuffisances.
Premièrement, il y a le caractère extrêmement généraliste du système de protection qui non seulement demeure principiel mais aussi ne renvoie à aucune disposition spécifiquement sanitaire. Néanmoins, les données biométriques, sans être des données de santé, bénéficient de la protection spéciale dévolue aux catégories particulières de données. Deuxièmement, la règlementation sectorielle sanitaire se limite à l’énumération de ce qu’il est fait des données de santé mais sans organiser leur traitement. Enfin, il n’existe ni convergence d’exigences ni intelligibilité conceptuelle qui auraient pu mettre en concurrence les deux systèmes législatifs, permettant de la sorte le traitement des données en vue d’une prise en charge optimum du patient, notamment en raison de l’accès juridiquement sécurisé de ses données de santé, montrant les facteurs de risques de complication de la maladie à coronavirus.
A.3. Eléments de détermination de la compétence du RGPD.
La compétence du RGPD tient sur deux critères principaux. Premièrement le critère d’existence d’un établissement, sur le territoire de l’UE, qui participe au traitement dans le cadre de ses activités, que le traitement lui-même ait lieu ou non dans l’UE. En second lieu, l’applicabilité du RGPD peut s’imposer lorsque la personne concernée ou visée par ledit traitement réside dans l’UE, même si le responsable du traitement ou le sous-traitant n’est pas établi dans l’UE. Mais, cette summa divisio critériologique de compétence recouvre une réalité plus inclusive.
La détermination de la compétence par l’élément personnel. Le premier élément de détermination de la compétence liée à la personne concernée est la nature du droit relatif à la protection des données à caractère personnel : un droit universel fondamental et donc, rattaché à la personne humaine. Sur ce point, le RGPD renvoie au Traité sur le fonctionnement de l’Union Européenne et à la Charte des droits fondamentaux de l’Union Européenne. Le deuxième élément est la nature de la personne : seule la personne physique vivante est protégée. La personne décédée est exclue, étant donné qu’elle cesse d’être une personne physique au sens du RGPD , et aussi au sens du juge français par exemple, exception faite de la volonté d’un Etat membre de réglementer le traitement des données à caractère personnel des personnes décédées. Ainsi, en matière de données publiques les données personnelles des personnes physiques décédées, établies par l’Institut national de la statistique et des études économiques, constituent des documents administratifs libres d’accès.
Néanmoins en France par exemple, il existe le droit à la mort numérique, permettant à toute personne physique d’organiser, de son vivant et par écrit, les conditions de conservation et de communication de ses données à caractère personnel après son décès, y compris les informations qui figurent sur les certificats des causes de décès, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit. La personne morale est exclue de la protection mais, elle demeure responsable à l’égard de la personne physique en ce qui concerne le traitement des données à caractère personnel, notamment à travers les lourdes obligations qui incombent au responsable de traitement et au sous-traitant, ce d’autant plus que ces derniers sont très souvent des personnes morales.
Les personnes en charge du traitement sont aussi un élément de détermination de la compétence du RGPD : le responsable du traitement, le responsable conjoint, le sous-traitant et le tiers bénéficiaire. Pour les acteurs dont l’établissement existe dans l’UE, le problème ne se pose pas. A ce propos d’ailleurs, la notion de lieu d’établissement est développée en rapport avec une certaine étroitesse ou proximité avec celle de domicile, notamment lorsque les éléments d’extraterritorialité existent. Pour une personne morale, le domicile peut être soit le lieu du siège social ou statutaire, soit le lieu de l’administration centrale, soit encore le lieu du principal établissement. Lorsqu’il s’agit d’une personne physique, le domicile est soit le lieu de résidence habituelle, soit le lieu choisi et fixé par le concerné comme étant le centre permanent ou habituel de ses intérêts, soit le lieu d’intégration dans un environnement social et familial. Et, le juge saisi définit le domicile selon la loi de l’Etat et tel que le comprend la loi de l’Etat du domicile considéré. Pour ceux installés hors UE, les juges ont adopté une approche englobante et extensive.
Ainsi, sont sous l’empire du RGPD soit le responsable du traitement installé hors UE mais qui peut déterminer les finalités et les modalités du traitement qui ont lieu au sein de l’UE, soit le responsable de traitement qui opère auprès de la représentation diplomatique ou consulaire d’un Etat membre, en vertu du droit international public , soit toute personne, même n’ayant pas la qualité de responsable de traitement, qui participe directement à des activités impliquant le traitement des données à caractère personnel, soit toute personne qui joue un rôle significatif dans le traitement de données à caractère personnel indépendamment de la forme juridique de son établissement, notamment le cas d’aspects de la protection de données liés aux moteurs de recherche, hypothèse ayant tout son sens au regard de la nature des activités du numérique et des sites de e-commerce par exemple.
La détermination de la compétence par l’élément matériel. Le premier élément matériel est l’activité de traitement de données à caractère personnel du patient, qui peut être saisi de trois manières. Premièrement par son contenu : des informations « objectives » telles que le nom, le numéro d’identification, le groupe sanguin, la génétique, la biométrie, la localisation, des informations « subjectives » à savoir des avis ou des appréciations. En second lieu, par sa finalité, et notamment les informations relatives à la vie privée et familiale, aux activités et au comportement sociaux, économiques et professionnels.
La détermination de la compétence par la territorialité. Il s’agit, premièrement, de traitements effectués au sein de l’espace européen. Mieux, en matière de données à caractère personnel, il est intéressant de comprendre la territorialité non pas seulement à la résidence dans les limites géographiques de l’UE, mais aussi à l’élargissement à tous les territoires des Etats tiers et des organisations multinationales hors de l’UE physique qui sont sous l’empire du RGPD au moyen, respectivement, de l’adéquation, des garanties appropriées ou des dérogations pour des situations particulières.
Il y a aussi la compétence personnelle par la nationalité ou la résidence de la personne concernée. A propos de la résidence, le juge européen a adopté l’interprétation la plus large possible, en faisant éclipser le critère de la nationalité par la notion de domicile, laquelle s’étend naturellement à la résidence habituelle, englobant ainsi automatiquement les apatrides, les réfugiés et les sans-papiers. Mais encore, en ce qui concerne le mineur, la notion est plus inclusive, en y ajoutant, pour le cas de l’enfant, le lieu traduisant son intégration dans un environnement social et familial, c’est-à-dire le lieu et les conditions de la scolarisation, les connaissances linguistiques et enfin les rapports familiaux et sociaux entretenus par l’enfant.
En deuxième lieu, il s’agit des activités de traitement liées à l’offre de biens ou de services aux personnes qui se trouvent dans l’UE . Ce cas rejoint la théorie judiciaire de la focalisation en droit international privé, et notamment le contentieux des activités du numérique, dans laquelle c’est moins l’accessibilité du site internet par les personnes concernées et vivant dans l’UE, que la focalisation sur le marché européen par le responsable du traitement, le sous-traitant ou l’intermédiaire qui est prise en compte. Laquelle focalisation peut donc se manifester, en plus de l’adresse électronique, l’adresse géographique ou le numéro de téléphone sans indication du préfixe international, par les indications d’interactivité telles que la langue généralement utilisée ou la monnaie d’usage courant, ayant cours légal et pouvoir libératoire, dans un ou plusieurs Etats membres, avec la possibilité de commander des biens et des services dans cette langue ou la mention de clients ou d’utilisateurs qui s’y trouvent.
En troisième lieu, il s’agit de traitements liés au suivi du comportement des personnes manifestées au sein de l’UE . Cette précaution évite, dans d’autres Etats hors UE, que l’on prive les personnes concernées protégées par le droit de l’UE, des droits qui leurs sont garantis au sein de l’UE.
La question de l’accès et de l’usage des données de santé venant de l’espace européen pose une double exigence inévitable. La première condition à remplir concerne les règles qui encadrent le transfert des catégories particulières de données à caractère personnel. Et, lorsque ces règles sont respectées, il est question alors de satisfaire aux exigences relatives au traitement desdites données sous l’empire du RGPD.
Les transferts de données de santé hors UE vers le Cameroun.
B.1. Principe et règles générales de l’interdiction de transfert.
B.1.a. Esprit du principe de l’interdiction de transfert de données.
Le transfert de données à caractère personnel dans un Etat hors UE est interdit en principe. Cette prohibition qui vise la seule protection de la vie privée de la personne physique, assure l’extension de la protection dévolue à la personne à l’étranger, tout en consacrant les effets extraterritoriaux du droit européen de la protection des données à caractère personnel. Il s’agit aussi et surtout de ne pas compromettre les exigences du RGPD et d’assurer aux personnes concernées un degré très élevé de protection de leurs données.
B.1.b. Règles générales applicables aux exceptions de transfert de données hors UE.
Les exceptions au principe d’interdiction de transfert de données hors UE existent, mais leurs modalités s’analysent sous un prisme. Premièrement, les bénéficiaires de ces exceptions sont soit un pays tiers soit une organisation internationale d’une part, soit un autre pays tiers ou une autre organisation internationale à partir du premier pays tiers ou de la première organisation internationale auprès duquel ou de laquelle le transfert a été d’abord effectué depuis l’espace de l’UE. En second lieu, il y a la condition temporelle qui concerne soit des traitements immédiats effectués directement à la suite du transfert soit des traitements ultérieurs.
B.2. Cas de transferts exceptionnels de données du patient hors UE.
L’on peut énumérer deux grands groupes de cas de transferts en considération du patient : les transferts tributaires de la volonté du patient ou servant directement ses intérêts, et ceux externes à la volonté du patient.
B.2.a. Cas de transferts tributaires de la volonté du patient, servant directement ses intérêts ou ceux du responsable du traitement, et non soumis à l’approbation préalable des instances européennes.
Ils relèvent généralement de la catégorie des dérogations de transferts pour des situations particulières ou transferts dits atypiques, dès lors qu’ils restent imprévus ou à intervalles arbitraires, occasionnels, sauf dans le cas de la possibilité à l’accès direct à une base de données par le destinataire via l’interface d’une application informatisée.
En outre, ces transferts doivent remplir les conditions ci-après : ne pas avoir un caractère répétitif ; être nécessaires aux fins des intérêts légitimes et impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les droits et libertés de la personne concernée ; faire l’objet d’une évaluation de toutes les circonstances entourant le transfert offert et des garanties appropriées en ce qui concerne la protection des données à caractère personnel, par le responsable du traitement.
On peut citer les cas ci-après : le patient a donné son consentement explicite au transfert envisagé ; le transfert est nécessaire à l’exécution d’un contrat entre lui et le médecin ou tout personnel médico-sanitaire, responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande du patient ; le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt du patient entre le médecin, responsable du traitement ou tout professionnel de santé, et une autre personne physique ou morale ; le transfert est nécessaire pour des motifs importants d’intérêt général ; le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ; le transfert est nécessaire à la sauvegarde des intérêts vitaux du patient ou d’autres personnes, lorsque le patient se trouve dans l’incapacité physique ou juridique de donner son consentement ; le transfert a lieu au départ d’un registre qui est destiné à fournir des informations au public et est ouvert à la consultation du public en général et de toute personne justifiant d’un intérêt légitime ; le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées et est nécessaire aux intérêts légitimes poursuivis par le responsable du traitement.
En ce qui concerne le consentement, celui pour le traitement de données ne doit pas être confondu avec celui requis pour la réalisation de certains actes médicaux.
B.2.b. Cas de transferts externes à la volonté du patient.
On y fait recours de manière subsidiaire par le mécanisme de cascade selon lequel le cas suivant est utilisé en cas d’impossibilité du cas précédent. On peut citer ici trois cas à savoir : les transferts fondés sur une décision d’adéquation, les transferts moyennant des garanties appropriées et les transferts sous conditions de règles d’entreprise contraignantes.
Les transferts fondés sur une décision d’adéquation. Ils peuvent bénéficier aux pays tiers, organisations internationales, territoires ou secteurs d’activités déterminés de destination des données considérées. Cette approche peut conduire à des adéquations globales, territorialement partielles ou sectorielles. Pour octroyer l’adéquation, il est exigé que le bénéficiaire assure un niveau de protection adéquat, substantiellement de même niveau qualitatif d’exigences et de conditions que le RGPD.
Lesdites exigences sont : l’existence d’une législation qui non seulement organise la protection des données mais aussi le respect des droits de l’homme et des libertés fondamentales ; l’existence d’une ou plusieurs autorités de contrôle indépendante(s) destinée(s) à veiller au respect de la législation et à assister et conseiller les personnes ; l’adoption d’engagements juridiquement contraignants avec des mécanismes de coopération avec les autorités de protection de données des Etats membres de l’UE assortis de droits effectifs et opposables ainsi que des possibilités de recours administratif et/ou juridictionnel. La décision d’adéquation est susceptible de réévaluation, abrogation, modification ou suspension, le cas échéant.
Les transferts moyennant des garanties appropriées.
Ces transferts n’interviennent que dans le cas où il n’y a pas de décision d’adéquation. Au bénéfice des personnes concernées par le traitement des données à caractère personnel, les garanties appropriées octroient des droits opposables et des voies de droit effectives. Ils sont de deux ordres. Il y a d’abord les garanties ne nécessitant pas d’autorisation particulière dès lors qu’elles sont préalablement approuvées par les instances de l’UE au moyen de clauses types déjà adoptées par l’UE, et qu’elles sont garanties soit pour les autorités et organismes publics par un instrument juridiquement contraignant et exécutoire, soit pour les multinationales par des règles d’entreprises contraignantes, soit pour tous les acteurs publics ou privés par des clauses types de l’UE ou des codes de conduite ou encore des mécanismes de certification approuvés. Il y a en second lieu les garanties nécessitant une autorisation particulière des instances européennes. Il s’agit soit des clauses contractuelles ad hoc soit des dispositions intégrées dans des arrangements administratifs des autorités publiques ou des organismes publics prévoyant des droits opposables et effectifs pour les patients.
Les règles d’entreprise contraignantes (binding corporate rules - BCR). Elles concernent un groupe d’entreprises donné ou un groupe d’entreprises engagées dans une activité économique conjointe. L’instance de protection des données de l’Etat membre chargée d’approuver les BCR est alors soit celle du siège de la société mère soit celle la plus appropriée. Par ailleurs, les BCR commandent non seulement une réelle organisation de la protection des données en termes de ressources humaines, de gestion des réclamations, d’obligation d’audit et de suivi internes, de coopération et d’obligations juridiques étrangères, mais aussi d’opposabilité effective des droits des patients.
Cependant, aussi démocratique puisse paraître le transfert de données hors de l’UE, la qualité des exigences imposées au traitement desdites données maintient le haut degré de protection des patients dont les données de santé viendraient à être exportées.
Les règles relatives au traitement des données du patient.
C.1. Cadre du traitement des données de santé.
Les règles relatives au traitement des données de santé sont non seulement celles spécifiques à la qualité de catégorie particulière de données, mais aussi d’abord celles générales relatives aux données à caractère personnel en général : elles concernent les droits et obligations des acteurs du traitement des données à caractère personnel. Le traitement des données à caractère personnel concernant la santé est interdit, sauf si certaines conditions sont remplies.
La première condition est la finalité du traitement ou le cadre opérationnel qui doit avoir pour objet : la médecine préventive ou la médecine du travail, l’appréciation de la capacité de travail du travailleur, les diagnostics médicaux, la prise en charge sanitaire ou sociale, ou la gestion des systèmes et des services de soins de santé ou de protection sociale.
La deuxième condition est le cadre juridique qui peut être soit législatif-réglementaire communautaire ou étatique, soit contractuel sanitaire.
La dernière condition est la qualité du responsable de traitement, y compris toute personne sous sa responsabilité, qui doit remplir trois conditions : être un professionnel de santé, être soumis à l’obligation de secret professionnel, et être soumis à des règles conformes au droit de l’UE, d’un Etat membre ou d’un organisme national compétent. La question de la conformité des règles peut être soumise à débat dès lors qu’elle pourrait appeler non pas des dispositions ou des stipulations particulières, mais un niveau d’intelligibilité conceptuelle et d’exigence d’applicabilité de sorte à rassurer le juge communautaire et les autorités de contrôles respectives des Etats membres concernés. Ce qui rappelle l’esprit des exigences qui fondent le principe général applicable aux transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale.
Quant à la responsabilité du professionnel de santé, elle pourrait être double : il y a non seulement sa responsabilité principale de son propre fait, mais aussi sa responsabilité du fait d’autrui. La soumission à l’obligation de secret professionnel pose le problème de sa valeur dans des États tiers ne faisant pas partie de l’UE, si tant est que tous les professionnels de santé des États de l’UE ont un secret professionnel de même valeur. Le secret professionnel auquel est tenu le professionnel de santé est une prérogative du patient et donc l’une facettes du droit de la personnalité dont bénéficie chaque personne, le droit au respect de la vie privée , lequel droit est universellement reconnu et protégé .
Par conséquent, tout professionnel de santé qui exerce et traite les données du patient, en parfaite conformité avec les règles du principe universel de respect de la vie privée, peut être considéré comme l’ayant fait en conformité avec le droit de l’UE, d’un Etat membre ou d’un organisme de santé compétent, qui lui-même est la source d’inspiration du droit européen communautaire en la matière.
Sur tous ces aspects, il serait opportun de voir les clarifications des juges et des régulateurs, notamment en ce qui concerne les effets extraterritoriaux du RGPD en matière de données de santé.
C.2. Droits du patient dans le cadre du traitement des données de santé.
Il y a six types de droits dont certains ont un impact sur l’intégrité des données et d’autres non.
C.2.a. Les droits n’ayant pas un impact sur l’intégrité des données du patient.
Le droit d’accès qui permet à la personne concernée d’obtenir non seulement la confirmation que ses données à caractère personnel sont traitées ou pas, mais aussi l’accès auxdites données et à certaines informations, dès lors qu’il y a confirmation qu’elles sont traitées. Le droit à la limitation de traitement est celui qui conduit au marquage de données à caractère personnel enregistrées en vue de leur traitement futur. Le droit à la portabilité permet à la personne concernée de contrôler la circulation et la réutilisation de ses données brutes à caractère personnel, qui peuvent alors être communiquées soit à la personne concernée soit à un nouveau responsable de traitement. Enfin, le droit d’opposition qui peut être soit général soit limité à la prospection.
C.2.b. Les droits ayant un impact sur l’intégrité des données du patient.
Le droit de rectification qui octroie la possibilité de rectifier et de compléter les données considérées. Le droit à l’effacement ou droit à l’oubli qui permet à la personne concernée d’en demander la restriction ou la cession de diffusion si elle juge cette dernière préjudiciable ou contraire à ses intérêts. Ce groupe de droits est le plus susceptible d’abus parce que les opérations de traitement sont plus exposées à des traitements non consentis tels que l’altération, l’enrichissement ou l’oubli des directives du patient.
C.3. Obligations du professionnel de santé au titre de la protection des données de santé.
Les obligations du professionnel de santé peuvent être examinées sous un double angle. Premièrement, il y a l’angle général qui fait appel non seulement à la notion de gouvernance, mais aussi aux obligations génériques. En second lieu, il y a l’aspect spécifique des obligations liées au traitement de données de santé à proprement parler.
C.3.a. Obligations générale et génériques du professionnel de santé.
La gouvernance est l’obligation générale-pivot du traitement de données à caractère personnel. Elle repose sur un référentiel thématique triptyque : la construction de son organisation interne de traitement de données à caractère personnel, l’identification et l’évaluation des risques encourus, notamment ceux des droits et libertés des personnes concernées, ainsi que l’organisation du monitoring et de l’évolution des traitements en prenant soin de veiller au risque de « hacking » ou de « ransomware ».
Les obligations génériques principales soumises aux traitements de données à caractère personnel sont : l’accountability qui regroupe les mesures à mettre en œuvre continuellement sur les plans technique et organisationnel ; le privacy by design ou le privacy by default qui permet de mettre en œuvre des protections respectivement soit lors de leur conception institutionnelle soit par la suite en considération des finalités spécifiques du traitement considéré ; la sécurité qui induit une double approche à savoir des mesures techniques organisationnelles et/ou la pseudonymisation ; l’analyse d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ; la consultation préalable de l’autorité de contrôle ; l’information de la personne concernée qui induit la problématique des hypothèses d’information et les modalités de communication des informations ; la tenue d’un registre de traitement sous une forme écrite ; la notification des violations lorsque celles-ci sont susceptibles de causer soit des dommages physiques, matériels, économiques ou sociaux importants soit un préjudice moral, que ces violations concernent la confidentialité, la disponibilité ou l’intégrité des données considérées.
C.3.b. Obligations spécifiques du professionnel de santé.
Ces obligations relèvent des bonnes pratiques à respecter pour les données contenues dans les dossiers des patients.
Il s’agit en premier lieu de la limitation des informations collectées au strict nécessaire en les utilisant conformément aux finalités définies à savoir, les activités de prévention, de diagnostic et de soins, le suivi des patients, et notamment la gestion des rendez-vous, la gestion des dossiers médicaux, l’édition des ordonnances, l’envoi des courriers aux autres professionnels de santé, l’établissement et la télétransmission de feuilles de soins. Ladite limitation concerne aussi l’accès aux données de santé des patients aux seules personnes autorisées, au regard de leurs missions.
Ainsi par exemple, le secrétaire médical ne pourrait accéder qu’aux données administratives permettant de gérer les prises de rendez-vous, tandis que l’équipe de soins et l’organisme d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, auraient accès à la totalité du dossier médical.
Deuxièmement, il y a la tenue à jour d’un registre de traitement des activités. Le registre de traitement est l’outil sur lequel il est possible de vérifier la mise en œuvre de l’accountability, conformément aux axes de gouvernance de la protection de données que le professionnel de santé se serait fixé.
En troisième lieu, il faut opérer la suppression de dossiers et informations du patient qui ont déjà dépassé la durée de conservation prescrite. Cette durée peut varier d’un Etat à un autre. Elle peut aussi avoir divers fondements : légal, réglementaire ou contractuel.
Ensuite, il y a la mise en place de mesures appropriées de sécurité des dossiers du patient, et la désignation d’un délégué à la protection des données, dont la missions sera de contrôler le respect de la législation par la structure, d’alerter le responsable de traitement en cas de non-respect, de le conseiller et de lui proposer des mesures correctrices, le cas échéant.
Enfin, il s’agit de l’information et de l’assurance du patient sur le respect de ses droits, par tout moyen concis, transparent, compréhensible et aisément accessible, en termes clairs et simples, accompagnés d’icônes normalisées, aussi bien sous la forme papier, électronique et/ou orale, permettant un consentement éclairé, exprès et univoque du patient. Néanmoins, le responsable de traitement peut être dispensé d’informer le patient dans des cas spécifiques, que les données soient collectées directement ou indirectement. Quant au titulaire de l’autorité parentale, il doit être informé des traitements de données de santé portant sur l’enfant mineur.
Ce qu’il faut retenir.
Bien qu’ayant pour sources le contexte sanitaire et une problématique médicale, en raison du poids du marché des données évalué à plusieurs milliers de milliards d’euros, les modalités de transfert et de traitement de données à caractère personnel représentent un enjeu de concurrence économique dont le protectionnisme est légitime, d’où les règles strictement encadrées du RGPD. Néanmoins, l’analyse des logiques relatives à la protection de catégories particulières de données, dont font partie les données de santé, révèle l’omniprésence de l’impératif permanent de la protection de la vie privée et de l’intimité, notamment au titre de droit fondamental humain universel, au regard des lourdes obligations imposées aux professionnels de santé, responsables de traitements et des importants droits reconnus aux patients.
Le caractère suprême de ces acquis rattachés aux droits fondamentaux humains universels survit absolument, même dans des espaces juridico-administratifs n’ayant ni législation ni règlementation dédiée à la protection des données à caractère personnel en général et des données sensibles en particulier. Les hypothèses opportunément emménagées par le RGPD, à cet effet, sont non seulement l’expression de ce besoin d’offrir la protection des intérêts personnels au plus grand nombre possible d’êtres humains, mais aussi de démontrer que la législation et la réglementation peuvent être supplées, le cas échéant, par l’intelligibilité conceptuelle, la coopération et l’harmonisation des niveaux d’exigences étatiques, ainsi que l’autodiscipline dans le cadre des contraintes organisationnelles, y compris de nature contractuelle.